知識星球9 月 4 日 14:30 UTC,未知攻擊者向 Google 官方擴充套件商店 Google Chrome webstore 上傳了檔案共享服務 MEGA.nz 的一個木馬版本 version 3.39.4,其中包含的惡意程式碼能竊取 amazon.com、live.com、github.com 和 google.com、以及 myetherwallet.com、mymonero.com、idex.marke 等網站的登入憑證和錢包私鑰。
MEGA 在 4 個小時後釋出了一個乾凈的擴充套件版本 version 3.39.5。如果你在此期間安裝了 MEGA Chrome 擴充套件,啟用了自動更新並接受了木馬版本的額外許可權要求,那麼你最好假設在此期間所訪問網站的登入憑證被竊取了,最好重置相關網站的密碼。MEGA 官方對給使用者造成的不便表示歉意,批評了 Google 的擴充套件自動簽名流程,認為如果擴充套件在上傳到擴充套件商店前要求開發者簽名,那麼這將能提供額外的一層保護,而 Google Chrome webstore 的做法是上傳新版本後自動給予簽名。MEGA 的 Firefox 擴充套件沒有受到影響。MEGA 表示它正在調查其 Chrome webstore 賬號是如何被入侵的。
*來源:solidot.org
更多資訊
◈ 技術討論 | 如何利用Microsoft Edge漏洞獲取本地檔案?
http://t.cn/Rs5zBYT
◈ 騰訊:《王者榮耀》將接入公安系統判定是否為未成年人
http://t.cn/Rs5zgfh
◈ Tor Browser 8.0 釋出
http://t.cn/Rs5zD7y
◈ IBM秘密使用紐約的閉路電視攝像機來訓練其監控軟體
http://t.cn/Rs5zsX0
(資訊來源於網路,安華金和蒐集整理)
